HP ArcSight

Решения HP ArcSight осуществляют сбор, обработку, сопоставление и реагирование на такие события, предоставляя всеобъемлющие функции масштабируемости, защиты и отказоустойчивости. Системы HP ArcSight позволяет каждую минуту обрабатывать сотни тысяч событий информационной безопасности, чтобы автоматизировать решения по обеспечению постоянной ИБ в организации. Продукты HP ArcSight активно используются крупнейшими мировыми операторами связи, финансовыми организациями и государственными структурами.

Основой линейки HP ArcSight является комплекс HP ArcSight Security Intelligence, а его ядром – HP ArcSight Enterprise Security Manager (ESM). Программа HP ArcSight ESM служит для сбора, обработки и хранения событий ИБ, расположенных в разных источниках, интегрируется с разнообразными прикладными системами и устройствами (свыше 300) и содержит несколько сотен предварительно установленных правил корреляции. В поставку HP ArcSight ESM также может включаться агент FlexConnector для интеграции с приложениями любого типа. Будучи лидером рынка, HP ArcSight ESM легко развертывается в территориально распределенных организациях с низкоскоростным сетевым подключением. Решение поставляется как в программном, таки и в программно-аппаратном варианте.

Состав комплексного решения HP ArcSight Security Intelligence:

• HP ArcSight Logger (входит в поставку HP ArcSight Express и HP ArcSight ESM) – эффективное управление журналами аудита любого типа для решения задач любой степени сложности. Сбор, фильтрация, анализ и хранение больших объемов данных по событиям ИБ, которые генерируются в современных информационных системах. Может развертываться в программном и аппаратном виде.
• HP ArcSight Threat Response (входит в поставку HP ArcSight Express и HP ArcSight ESM) – мгновенное реагирование на инциденты ИБ путем анализа информации от HP ArcSight ESM, локализация проблем и применение ответных мер.
• HP ArcSight Configuration Management – определение конфигураций сетевого оборудования и настроек безопасности.
• HP ArcSight Fraud Detection (входит в поставку HP ArcSight ESM) – определение и предотвращение онлайн-мошенничества в трех связанных областях: неправомерное использование номера банковского счета, выявление транзакций и создание счетов. Отслеживание таких параметров, как время между созданием и использованием счета, IP-адрес компьютера и алгоритмы использования для определения вероятности неавторизованного доступа и перехвата данных счета.

HP ArcSight Express

Это программно-аппаратный комплекс, сходный по функционалу с HP ArcSight ESM и предназначенный для мониторинга событий информационной безопасности, обеспечения соответствия нормативным требованиям при рисках комплексных угроз ИБ. Реализованная в HP ArcSight Express технология Correlation Optimized Retention and Retrieval (CORR) Engine существенно усовершенствует корреляцию и хранение данных о событиях, помогая администраторам ИБ противостоять современным комплексным угрозам. С помощью ArcSight Express можно определять значение каждого события в контексте того, что, где, когда и почему стало его причиной, а также его влияние на бизнес-процессы. ArcSight Express содержит наиболее распространенные правила, уведомления и отчеты для мониторинга защиты периметра и сети, предварительно настроенные и готовые к использованию. Отличия HP ArcSight Express от HP ArcSight ESM:

• Отсутствие только программной реализации.
• Отсутствие возможности установки на сервер виртуализации.
• Модуль выявления поведенческих моделей и закономерностей Threat Detector входит в поставку, а не приобретается отдельно.
• Модуль контроля действий пользователей IdentityView входит в поставку, а не приобретается отдельно.
• Организация хранения данных при помощи файловой структуры под управлением CORRE Engine 3.0 (в HP ArcSight ESM – DB Oracle 11g).
• Отсутствие расширяемости хранилища для больших объемов данных и длительного хранения.
• Ограниченное количество контролируемых источников.
• Модуль Fraud Detection не входит в поставку.
• Отсутствие расширенных возможностей интеграции.

HP ArcSight IdentityView

Это решение на базе HP ArcSight ESM, предоставляющее полную картину об активности пользователей. HP ArcSight IdentityView сопоставляет сведения о пользователях, их ролях и группах, решениях по управлению персоналом и идентификацией, с фактическими журналами активности в пределах компании. Таким образом система обнаруживает потенциально опасные действия: кражу информации, несанкционированный доступ к конфиденциальным данным и т. д.

• Мониторинг привилегированных пользователей и привилегированных учетных записей.
• Мониторинг общих учетных записей.
• Определение доступа уволенного сотрудника/контрагента.
• Генерация отчетов по ролям.
• Сопоставление различных учетных записей.
• Идентификация пользователей по IP-адресам.
• Обнаружение нарушения разделения обязанностей.
• Интеграция с передовыми системами управления идентификацией.

Архитектура системы HP ArcSight ESM

HP ArcSight ESM работает следующим образом: «умные коннекторы» собирают данные о событиях их источников: системных журналов, текстовых журналов событий и т. д., а затем передают эту информацию напрямую ArcSight Manager или сначала в модуль ArcSight Logger. Компонент Logger журналирует полученную информацию и также отправляет ее в ArcSight Manager, где данные коррелируются в реальном времени. По результатам корреляции система либо предпринимает проактивное реагирование на обнаруженные события (Threat Response), либо отправляет итоговые данные в Logger для отчетности.

• ArcSight Manager – главный серверный компонент, ядро системы, которое обеспечивает корреляцию событий и их обработку.
• ArcSight DB – база данных на основе СУБД Oracle 11g, предназначенная для хранения информации о событиях.
• ArcSight Console – консоль управления системой и взаимодействия с ней. Является клиентским приложением, устанавливаемым на рабочее место администратора или пользователя.
• ArcSight Web – серверный компонент web-консоли для мониторинга и отчетности. Работае через любой современный web-браузер.
• ArcSight SmartConnectors – «умные коннекторы», отвечающие за сбор событий с источников, их предварительную фильтрацию и накопление, а также передачу в ArcSight Manager. Могут поставляться в виде программных и программно-аппаратных комплексов для решений ArcSight Logger и ArcSight ESM.